L'anno scorso si sono verificati gravi attacchi ransomware, che si sono trasformati in eventi di portata mondiale e pare abbiano avuto per le aziende un costo di miliardi di dollari. È stato anche riscontrato che le minacce note, come la BEC (Business Email Compromise, Compromissione delle email aziendali), continuano a rappresentare un pericolo costante per le aziende. Al contempo, l'instabilità delle criptovalute ha destabilizzato il panorama delle minacce, poiché il valore delle prime è cresciuto in modo rapido e repentino. Per poter agire in questo ambiente, i criminali informatici hanno modificato le vecchie tecniche per trarre beneficio dalle cripto tendenze, cercando anche di sfruttare in modo nuovo le vulnerabilità note.
Il ransomware provoca un numero maggiore di attacchi a livello mondiale, nonostante l'esigua quantità di attori
Il ransomware provoca un numero maggiore di attacchi a livello mondiale, nonostante l'esigua quantità di attori
Nel 2016, il numero di nuove famiglie di ransomware è aumentato del 32% arrivando a 327, a dimostrazione del fatto che vi erano ancora sviluppatori di ransomware attivi che cercavano di trarre vantaggio dalla tendenza alla stasi. Tuttavia, le minacce legate al ransomware che sono state rilevate dall'infrastruttura di sicurezza Trend Micro™ Smart Protection Network™ sono andate nella direzione opposta e sono diminuite del 41%. A quanto risulta, nel 2017 solo un numero ristretto di queste nuove famiglie ha effettivamente avuto un impatto.
Ma gli eventi di ransomware che hanno colpito gli utenti erano considerevolmente più grandi. Questi attacchi diffusi hanno colpito diversi paesi e pare abbiano provocato danni di miliardi di dollari statunitensi. Oltre ai due più noti, WannaCry e Petya, c'è stato il caso più recente di Bad Rabbit, a ottobre il ransomware ha colpito numerose aziende tra Russia, Europa dell'Est e Stati Uniti.
La differenza è stata netta rispetto al 2016, anno in cui sono stati registrati più incidenti di ransomware, ma l'entità dei danni in genere era circoscritta agli uffici locali e il riscatto richiesto era solo di decine di migliaia di dollari.
Il ransomware rimane una minaccia evidente e costante, poiché molte vecchie famiglie colpiscono ancora gli utenti di tutto il mondo. Nel contempo, i recenti attacchi dimostrano che le nuove famiglie stanno diventando sempre più sofisticate e stanno raggiungendo obiettivi più consistenti. Gli sviluppatori sono in fase di costante sperimentazione e cercano di trovare strategie efficaci. Nel 2017, hanno utilizzato vari metodi nuovi; ad esempio, molti hanno utilizzato l'infezione senza file e delle tecniche aggiuntive di evasione del machine learning di pre-esecuzione per sfruttare le vecchie vulnerabilità.
Un ransomware efficace di solito viola le tecniche e gli exploit conosciuti. Le aziende dovrebbero quindi essere scrupolose e adottare politiche di patch adeguate, proteggendo al contempo i propri sistemi con soluzioni multilivello.
Le minacce adattabili sfruttano le vulnerabilità note in modi nuovi
Le minacce adattabili sfruttano le vulnerabilità note in modi nuovi
Diverse vulnerabilità cruciali e controverse sono state sfruttate dai criminali informatici e utilizzate per le principali operazioni di ransomware. In particolare, queste hanno incluso quelle note che sono state sfruttate dagli exploit EternalBlue ed EternalRomance. Il primo è stato utilizzato negli attacchi di WannaCry e Petya , mentre il secondo è stato utilizzato anche negli attacchi di Petya e successivamente nel caso di Bad Rabbit.
Le vulnerabilità note sono state sfruttate anche per scopi diversi dalla diffusione del ransomware. EternalBlue è stato utilizzato anche da un malware criptominer per diffondersi senza file. La vulnerabilità Dirty COW di Linux, invece, è stata utilizzata da ZNIU per compromettere dispositivi Android specifici.
Nel 2017 si è registrato anche un aumento sostanziale, del 98%, delle vulnerabilità zero-day rilevate. Inoltre, delle 119 vulnerabilità zero-day, tutte tranne sei erano legate al controllo di supervisione e acquisizione dati (SCADA, Supervisory Control and Data Acquisition). Questa maggiore attenzione allo SCADA è particolarmente significativa, in quanto i grandi complessi industriali e le infrastrutture importanti si affidano a questa architettura di sistemi di controllo per svolgere le loro funzioni. Se sfruttate, le vulnerabilità zero-day possono comportare perdite e danni enormi.
In un clima di crescente consapevolezza della minaccia, le truffe BEC sono ancora in aumento
In un clima di crescente consapevolezza della minaccia,le truffe BEC sono ancora in aumento
I casi che si sono verificati in passato hanno messo in evidenza il rischio che le truffe BEC rappresentano per tutti i tipi di azienda, dalle grandi multinazionali alle piccole imprese. Ma nonostante la crescente consapevolezza, le truffe BEC hanno ancora prevalso e sono cresciute nel 2017. Un episodio, che è costato a un'azienda di trasporti giapponese 3,4 milioni di dollari statunitensi, è avvenuto proprio a dicembre. Nello specifico, questa truffa si è avvalsa di una tecnica diffusa, chiamata truffa del fornitore: impersonare un fornitore terzo e raggirare l'azienda per trasferire fondi. In un altro episodio avvenuto a luglio, diverse aziende in Germania hanno ricevuto falsi promemoria da parte di "dirigenti" che chiedevano al personale contabile di inviare fondi su conti fraudolenti.
I dati in nostro possesso mostrano che i tentativi sono aumentati rapidamente del 106% dal primo al secondo semestre del 2017. Sulla linea dell'anno precedente, le posizioni lavorative più mirate sono state quelle legate all'ambito finanziario: chief financial officer (CFO), controllore finanziario, responsabile finanziario e direttore finanziario. Quelle più raggirate, invece, sono state quelle dell'alta dirigenza: chief executive officer (CEO), amministratore delegato e presidente.
L'ascesa vertiginosa delle criptovalute fa da stimolo a nuovi malware di mining e ad altre minacce
L'ascesa vertiginosa delle criptovalute fa da stimolo a nuovi malware di mining e ad altre minacce
Il valore della criptovaluta, in particolare del bitcoin, è salito alle stelle nel secondo semestre del 2017. All'inizio di luglio, 1 bitcoin valeva circa 2.500 dollari statunitensi, mentre al 31 dicembre ne valeva più di 13.800. Questo aumento forte e rapido ha chiaramente spinto i criminali informatici a prendere di mira la criptovaluta con vari metodi. Alcuni hanno utilizzato attacchi di ingegneria sociale per arrivare direttamente ai portafogli di criptovalute, mentre altri hanno sviluppato vecchie minacce di ransomware per raggiungere lo stesso scopo. Ci sono stati persino tentativi di minare le criptovalute tramite malware mobili, sebbene il guadagno di cifre consistenti con questo metodo fosse improbabile.
Alcune aziende hanno cercato di investire sulle criptovalute utilizzando software di mining in alternativa alla pubblicità sul web, ma i criminali informatici sono stati in grado velocemente di trarre vantaggio anche da questi. A metà del 2017, i criminali informatici hanno iniziato a violare lo strumento di mining open source più conosciuto: Coinhive. A novembre, una variante violata di Coinhive si è classificata al sesto posto tra i malware più comuni al mondo, nonostante fosse stato concepito come un metodo alternativo legale per i siti web per guadagnare.
Queste minacce sono particolarmente rilevanti poiché le aziende stanno iniziando a utilizzare le criptovalute e persino a mettere in circolo le proprie; anche alcuni governi, compresi quello del Venezuela e quello di Dubai; negli Emirati Arabi, stanno creando le proprie criptovalute. Le soluzioni di sicurezza che prevedono machine learning ad alta fedeltà, servizi di reputazione web, monitoraggio del comportamento e controllo delle applicazioni possono contribuire a ridurre al minimo le conseguenze di tali minacce.
Panorama delle minacce
Nel 2017, l'infrastruttura di sicurezza Trend Micro™ Smart Protection Network™ ha bloccato oltre 66 miliardi di minacce. Oltre l'85% di queste minacce erano email con contenuti dannosi. Le email sono sempre state il canale di accesso più utilizzato dai criminali informatici per raggiungere gli utenti.
Panorama delle minacce
Nel 2017, l'infrastruttura di sicurezza Trend Micro™ Smart Protection Network™ ha bloccato oltre 66 miliardi di minacce. Oltre l'85% di queste minacce erano email con contenuti dannosi. Le email sono sempre state il canale di accesso più utilizzato dai criminali informatici per raggiungere gli utenti.
Minacce totali bloccate
66436980714
In confronto, nel 2016 sono state bloccate oltre 81 miliardi di minacce. Riteniamo che il calo del numero di minacce possa essere attribuito al passaggio da metodi approssimativi a un approccio più mirato agli attacchi.
Evento | Numero di eventi |
Mining delle criptovalute | 45,630,097 |
Accesso con password predefinita TELNET | 30,116,181 |
MS17-010 SMB | 12,125,935 |
Accesso con forza bruta | 3,714,051 |
ICMP BlackNurse | 1,792,854 |
Altri | 16,701,211 |
Anno | Violazioni dei dati divulgate | Archivi colpiti |
2016 | 813 | 3,310,435,941 |
2017 | 553 | 4,923,053,245 |
Altre vicende rilevanti in materia di sicurezza del 2017 sono incluse nel nostro rapporto, nel quale forniamo dettagli su come i criminali informatici hanno violato i dispositivi IoT interconnessi e su quanto le grandi aziende siano state colpite da gravi violazioni dei dati. Leggi il nostro report annuale sulla sicurezza e scopri quali sono le novità nello scenario delle minacce e quali sono le strategie di sicurezza che è possibile utilizzare contro le minacce attuali ed emergenti.
SCARICA IL REPORT COMPLETO (PDF/ingl.)
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Ultime notizie
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers